ELK日志分析学习记录

最新推荐文章于 2024-08-10 17:22:15 发布
最新推荐文章于 2024-08-10 17:22:15 发布
阅读量136 收藏
点赞数 1
文章标签: 负载均衡 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rryncshq/article/details/107341828
版权

ELK日志分析学习记录

在这里插入图片描述

1. 下载安装包

官网下载地址:https://www.elastic.co/cn/downloads/

但是下载速度很慢,可以寻找国内镜像通过wget命令下载:

https://elasticsearch.thans.cn/downloads/elasticsearch/elasticsearch-7.3.2-no-jdk-linux-x86_64.tar.gz

https://mirrors.huaweicloud.com/logstash/7.3.2/logstash-7.3.2.tar.gz

https://mirrors.huaweicloud.com/kibana/7.3.2/kibana-7.3.2-linux-x86_64.tar.gz

2. elasticsearch安装和使用

elasticsearch的安装需要oracle jdk1.8的支持,由于centOS自带的是openJDK,所以需要重装jdk。

解压安装包

tar -zxvf elasticsearch-7.3.2-no-jdk-linux-x86_64.tar.gz

进行配置

cd elasticsearch-7.3.2/config
vim elasticsearch.yml

加入如下配置

# 将绑定地址设置为特定的IP
network.host: 0.0.0.0
# 设置访问端口
http.port: 9200
# 跨域设置
http.cors.enabled: true
http.cors.allow-origin: "*"

由于root用户无法直接启动elasticsearch,所以需要新建用户去启动elasticsearch

#创建用户组和用户
groupadd elk
useradd elk -g elk -p xxxx
#切换用户
su elk
#临时启动
./bin/elasticsearch 
#后台启动
./bin/elasticsearch -d

浏览器访问 : 服务器ip+9200:

在这里插入图片描述

配置成功!

可能出现的问题:

  1. max file descriptors [4096] for elasticsearch process likely too low, increase to at least [65536]
#切换到root用户  修改/etc/security/limits.conf,在文件后添加如下配置

*  hard  nofile  65536
*  soft   nofile  65536
  1. max virtual memory areas vm.max_map_count [65530] likely too low, increase to at least [262144]
#提示虚拟内存太小,最大文件描述进程太小
#切换root用户 修改/etc/sysctl.conf 添加如下配置
vm.max_map_count=2621441
#保存后执行sudo sysctl -p /etc/sysctl.conf 使之生效
  1. JVM is using the client VM [Java HotSpot™ Client VM] but should be using a server VM for the best performance
#jvm HotSpot client VM 与 server VM
#修改文件 
#JAVA_HOME\jre\lib\i386\jvm.cfg
-server KNOWN      //原来在第二行
-client IF_SERVER_CLASS -server
-minimal KNOWN
  1. system call filters failed to install; check the logs and fix your configuration or disable system call filters at your own risk
#Centos不支持SecComp
#修改文件elasticsearch.yml

bootstrap.memory_lock: false 
bootstrap.system_call_filter: false
  1. the default discovery settings are unsuitable for production use; at least one of [discovery.seed_hosts,discovery.seed_providers, cluster.initial_master_nodes] must be configured
#修改config目录下的 elasticsearch.yml文件
cluster.initial_master_nodes: ["node-1"]

2. logstash的安装使用

解压安装包

tar -zxvf logstash-7.3.2.tar.gz

进入文件目录

cd logstash-7.3.2.tar.gz

测试

 ./bin/logstash -e 'input { stdin { } } output { stdout { } }'

启动后直接命令行输入,可获得同样的输出

在这里插入图片描述

日志读取配置

新建一个conf文件名字随意,编辑以下内容:

input {

    file {

        path => "/usr/tomcat/apache-tomcat-9.0.31/logs/localhost_access_loh*.log"

        type => "systemlog"

        start_position => "beginning"

        stat_interval => "3"

    }

}


output {

    if [type] == "systemlog" { 

        elasticsearch {

            hosts => ["服务器ip:9200"]

            index => "system-log-%{+YYYY.MM.dd}"

        }

    }

    if [type] == "securelog" { 

        elasticsearch {

            hosts => ["服务器ip:9200"]

            index => "secure-log-%{+YYYY.MM.dd}"

        }

    }

}

这里配置的是读取tomcat日志,修改tomcat/conf/server.xml里的pattern参数

 pattern="%h %l %u %t "%r" %s %b"

启动logstash

./bin/logstash -f logstash.conf

可能会遇到的问题:

  1. 找不到logstash-input-log4j插件

安装:

 ./logstash-plugin install logstash-input-log4j
  1. 内存不足

修改conf/jvm.options 参数到合适的值

vim conf/jvm.options 

-Xms200m
-Xms200m

3. kibana的安装和使用

解压:

tar -zxvf kibana-7.3.2-linux-x86_64.tar.gz

修改配置

vim kibana-7.3.2-linux-x86_64/config/kibana.yml

server.port: "5601"
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://服务器ip:9200"]
#kibana中文设置
i18n.locale: "zh-CN"

启动kibana

./bin/kibana

在这里插入图片描述

在这里插入图片描述

rryncshq
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
开源实时日志分析ELK平台部署【入门篇】
Black Dragon 的个人博客
06-23 1万+
通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的syslog,将所有服务器上的日志收集汇总。 集中化管理日志后,日志的统计和检索又成为一件比较麻烦的事情,一般我们使用grep、awk和wc等Linux命令能实现检索和统计,但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心
构建ELK海量日志分析平台
02-21
本课程重点构建ELK海量日志分析平台,包括Filebeat多数据源采集、打标记、多行异常信息整合,Logstash数据解析、过滤、清洗,ElasticSearch对数据进行存储、搜索以及分析,Kibana实现大数据分析和数据可视化。 项目核心技术及版本 Java8,Filebeat6.6.1、Logstash6.6.1,ElasticSearch6.6.1,Kibana6.6.1Filebeat:轻量级的托运人,用于转发和集中日志数据。Logstash:监控、过滤、收集各种类型和渠道日志Elasticsearch:存储海量日志并提供实时搜索功能Kibana:提供Web管理界面,功能强大、操作方便,支持查询、统计、图表展现、监控、预警和权限管理。
慕课网日志分析实战一:架构及概述
weixin_39216383的博客
05-28 1682
学习完慕课网SparkSQL日志分析这门课之后,我想把我做项目的过程与踩的坑与大家分享一下,希望对大家能有帮助。 1.项目的整体架构 2.概述 这个项目比较简单,是对于SparkSQL知识的一种梳理,所以没有应用Flume和Kafka导入数据。针对于慕课网日志进行数据分析,对日志信息清洗使其转化为合适的格式,并对清洗好的数据进行多维度的统计分析,并将统计分析的结果打到MySQL上,方便其...
ELK海量日志分析平台-杨帅-专题视频课程
djt_20180507的博客
08-16 425
本课程涵盖ELK大型日志分析平台的完整流程,包括Logstash采集接入不同渠道的日志(Apache日志,Nginx 日志,系统日志等等),ElasticSearch对各种渠道的日志建立索引、存储实现高级查询,Kibana实现数据分析和数据可视化。...
ELK实时日志分析平台环境部署--完整记录
weixin_34413802的博客
09-29 755
  在日常运维工作中,对于系统和业务日志的处理尤为重要。今天,在这里分享一下自己部署的ELK(+Redis)-开源实时日志分析平台的记录过程(仅依据本人的实际操作为例说明,如有误述,敬请指出)~ ================概念介绍================日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生...
ELK日志分析系统
04-30
### ELK日志分析系统详解 #### 一、ELK平台概述 ELK栈是由Elasticsearch、Logstash和Kibana三个核心组件组成的开源工具集合,主要用于收集、存储、分析和可视化各种类型的日志数据。 ##### 1.1 ELK概述 - **...
ELK日志系统浅析与部署
01-27
总的来说,ELK日志系统为企业提供了强大的日志管理和分析工具,但要注意的是,任何架构都不是万能的,需要根据具体业务需求进行调整。ELK的每个组件都应视为独立的高可用服务,与日志源(如Beats或Logback)一起构成...
ELK学习记录
06-23
### ELK学习记录 #### ELK配置及使用步骤详解 ELK栈,即Elasticsearch、Logstash与Kibana的组合,是当前业界广泛采用的日志管理和数据分析平台。本篇将围绕Logstash这一核心组件进行深入探讨,涵盖其基本配置、...
ELK实战文档,elasticsearch学习
03-13
- **日志分析**:收集和分析应用程序日志,快速定位故障和性能问题。 - **网站搜索**:为大型网站提供高性能的站内搜索功能。 - **安全监控**:通过日志数据检测潜在的安全威胁。 - **业务分析**:收集和分析业务...
ELK学习分享.ppt
10-13
ELK学习分享主要涵盖的是Elasticsearch、Logstash和Kibana这三个组件,它们是构建实时日志分析系统的常用工具,广泛应用于大数据日志管理和可视化。 首先,Lucene是Elasticsearch的核心,它是一个高性能、全文本...
ELK 企业级日志分析系统
码海小虾米_的博客
07-19 1169
ELK 企业级日志分析系统一、 ELK日志分析系统简介二、 使用ELK的原因三、 完整日志系统基本特征四、 ELK的工作原理五、ELK日志分析系统集群部署5.1 ELK Elasticsearch 集群部署(在Node1、Node2节点上操作)5.2 ELK Logstash 部署(在 Apache 节点上操作)5.3 ELK Kiabana 部署(在 Node1 节点上操作)5.4 Filebeat+ELK 部署 一、 ELK日志分析系统简介 ELK平台是一套完整的日志集中处理解决方案,将ElasticS
日志分析大致流程
weixin_33712881的博客
09-16 1706
简单概述:生产过程中会生成大量的系统日志,应用程序日志,安全日志等等,通过对日志的分析可以了解服务器的负载,健康状况,可以分析客户的分布情况,客户的行为,甚至基于这些分析可以做出预测。 一般采集流程:日志产出 ——>采集——>储存——>分析——>储存——>可视化 数据提取:由于日志文件基本都以文本形式产出,所以对日志的分析基本就是对文本的字符串进行分析。所以我们需将文...
ELK 日志分析系统--学习笔记
maibm的博客
01-15 1510
ELK是Elasticsearch、Logstash、Kibana的简称 Elasticsearch是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能 Logstash是一个用来搜集、分析、过滤日志的工具。 Kibana是一个基于Web的图形界面,用于搜索、分析和可视化存储在 Elasticsearch指标中的日志数据。 测试环境为   192.168.0.101   部署Elas...
Web日志分析学习
seeicb的博客
05-20 795
title: Web日志分析学习 comments: false date: 2016-08-09 23:50:32 categories: 安全 tags: Web安全 Apache日志分析 Apache默认日志存在于安装目录下的logs文件中。 其记录基本为: 127.0.0.1 - - [09/Jul/2016:16:37:49 +0800] "GET / HTTP/1.1" 302 -...
20.ELK实时日志分析平台之Elasticsearch 查询简介
Mars Loo的博客
03-17 2727
简单介绍Elasticsearch的Json DSL查询方法。
ELK实时日志分析系统
wpeng_1024的博客
12-30 4514
转自:http://www.ibm.com/developerworks/cn/opensource/os-cn-elk/ ELK 协议栈介绍及体系结构 ELK 其实并不是一款软件,而是一整套解决方案,是三个软件产品的首字母缩写,Elasticsearch,Logstash 和 Kibana。这三款软件都是开源软件,通常是配合使用,而且又先后归于 Elastic.co 公司名下
keepalived+lvs高可用负载均衡集群配置方案
thetender的博客
08-08 428
keepalived+lvs部署高可用负载均衡集群方案
cnetos部署高可用以及七层负载均衡
最新发布
weixin_67353555的博客
08-10 280
准备两台服务器,作为前端服务器,第一台安装keepalived,haproxy,第二台安装keepalived,nginx。再准备四台服务器作为后端服务器,两台作为web服务器,两台作为php服务器,统一安装Apache或者是nginx都行。查看第二台的ip,查看是否有虚拟ip,这一台正常情况下没有,只有第一台的down了才有,第一台的优先级较高。这时第二台高可用服务器就有了虚拟IP,顶替了第一台高可用服务器的位置。完结,注意配置并不完整,只是出现了基础效果,谨慎使用。可以看到是一替一次的访问不同服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值